Mais de 700000 sites WordPress sob risco!

Se você tem um site baseado no WordPress, essa notícia pode lhe interessar, especialmente se você utiliza o plugin File Manager!

Uma vulnerabilidade de segurança considerada de alto risco, foi descoberta pela equipe do Wordfence – uma solução de segurança da Defiant Inc para o WordPress – no dia 1º de Setembro.

Por essa razão, se você tem um site baseado no WP e usa o plugin File Manager, leia com atenção e saiba como corrigir o problema.

O plugin File Manager

Entre os muitos plugins disponíveis para o WP, esse é dos que tem um elevado índice de adoção por parte dos usuários, o que significa que a quantidade de possíveis vítimas, pode ser bastante grande.

Como o nome sugere – File Manager é gerenciador de arquivos quando traduzido – esse plugin permite realizar o gerenciamento de arquivos do WordPress.

Ele possibilita que se edite, apague, faça-se o download ou upload, a compactação, a cópia e colagem de arquivos e pastas, tudo a partir do painel administrativo do CMS.

Ele pode ser instalado em sites que usem o WordPress 3.3 ou posterior, PHP 5.0 ou superior e MySQL 5.0 ou posterior.

É um plugin gratuito e Open Source.

O número de instalações possivelmente ativas da versão insegura do plugin, ultrapassava os 700 mil sites e, portanto, esse é o cenário de possíveis sites ameaçados.

Qual a falha do plugin File Manager?

A falha foi identificada em 1º de Setembro de 2020 pela equipe de segurança do WordFence, outro plugin que atua como uma solução de segurança para sites baseados no WordPress.

A vulnerabilidade foi considerada crítica, atingindo nível 10 – o máximo – pelo CVSS v3.0 (Common Vulnerability Scoring System Version 3.0 Calculator), um sistema que calcula e atribui pontuações para vulnerabilidades conhecidas.

O problema permite que a depender dos privilégios associados ao aplicativo, um invasor poderia então instalar outros programas, visualizar, alterar ou excluir dados e até mesmo criar novas contas com privilégios administrativos de usuário.

A vulnerabilidade ocorreu em função de testes realizados em um ambiente de desenvolvimento na versão 6.4 do plugin, em que um dos arquivos (connector.minimal.php-dist) da biblioteca elFinder foi armazenado em um formato executável, ou seja, foi renomeado para .php.

Isso não seria um problema, se o arquivo renomeado fosse mantido exclusivamente no ambiente de desenvolvimento e testes. No entanto, a alteração não foi revertida e foi acidentalmente adicionado ao conjunto de arquivos que compõem o plugin e assim foi baixado e instalado em centenas de milhares de sites que atualizaram ou instalaram a versão 6.4 do File Manager.

Com isso, qualquer usuário poderia acessar o arquivo por meio de digitação direta no campo de URL do navegador e a partir daí, executar comandos diversos possíveis usando-se os recursos da biblioteca.

Tão logo a vulnerabilidade foi divulgada, a equipe de desenvolvimento excluiu o arquivo, que não é essencial no funcionamento do plugin, bem como todos os outros arquivos .php-dist que integram o plugin e que assim como o connector.minimal.php-dist não são utilizados.

Qual o risco da versão 6.4 do File Manager?

Como a exploração com sucesso da falha permite ao invasor ter um nível de acesso igual ao do administrador do site, literalmente qualquer conteúdo pode ser enviado para a conta de hospedagem na qual o WordPress rodando o File Manager 6.4, está instalado.

Assim, o site pode ser usado por qualquer das principais manifestações de invasão, como por exemplo, defacement (descaracterização do site), ataque DDoS, phishing e até mesmo a remoção de todo o conteúdo do site ou blog, ou o tipo de site criado.

Isso evidencia a importância de manter backups atualizados do conteúdo, bem como manter-se informado sobre o CMS, os plugins utilizados e atualizar frequentemente o WP e os plugins.

Como corrigir a vulnerabilidade do File Manager?

Como rapidamente a equipe de desenvolvimento corrigiu e liberou uma nova versão em que a falha foi corrigida, o primeiro passo é atualizar o plugin, caso você não tenha a opção de atualizações automáticas habilitada no painel de administração do WP. A versão corrigida do plugin, é a 6.9.

Caso não esteja usando o File Manager, a recomendação é não apenas desativar o plugin, mas desinstalá-lo!

Porém isso pode não ser suficiente!

Caso você tenha utilizado a versão 6.4 do plugin em algum momento, seu site pode ter sido alvo de exploração da falha e um ou vários arquivos podem ter sido alterados ou enviados para a sua instalação do WordPress.

Se isso aconteceu, apenas atualizar o plugin não resolverá o problema e você pode estar com o site invadido. Nesse caso, é preciso limpar o site invadido.

A equipe do WordFence identificou alguns arquivos que foram enviados em muitas das explorações bem sucedidas que usaram a vulnerabilidade, sendo comum encontrar os arquivos hardfork.php, hardfind.php e x.php no diretório ./wp-content/plugins/wp-file-manager/lib/files.

Por isso, esses e outros arquivos não padrão do WP devem ser procurados e removidos.

Também foram identificados alguns IPs a partir dos quais ataques recorrentes se originaram:

185.222.57.183

188.165.217.134

192.95.30.59

192.95.30.137

198.27.81.188

46.105.100.82

91.121.183.9

185.81.157.132

185.222.57.183

185.81.157.236

185.81.157.112

94.23.210.200

Nesse caso, é conveniente efetuar o bloqueio dos endereços IP acima no arquivo .htaccess ou no firewall da sua conta de hospedagem.

Também é indicado realizar procedimentos diversos que aumentam a proteção do WordPress.

Outra recomendação importante, é a utilização de plugins de segurança para WordPress. Entre os plugins que recomendamos, consta o WordFence e os usuários que utilizam a sua versão paga, tiveram incluída no mesmo dia em que foi identificada a falha, uma regra de segurança no firewall da aplicação, que os protegia da vulnerabilidade.

Usuários que usam a versão gratuita do plugin, terão a proteção via firewall apenas em 1º de Outubro de 2020.

Por fim, mas não menos importante, optar por planos de hospedagem WordPress, pode ser uma opção inteligente, na medida em que há benefícios importantes e pensados de acordo com a realidade e as necessidades dessa plataforma, como por exemplo, a limpeza de malwares ou invasões e servidores rodando módulos do ModSecurity criados para atender o ambiente de sites baseados no WordPress.

A falha do File Manager e os clientes HostMídia

Clientes da HostMídia, sejam os que têm planos de hospedagem WordPress ou outros planos de hospedagem compartilhada, contam com a proteção de um sistema de segurança multicamadas que figura entre os melhores no segmento de hosting, que é o Imunify360.

Assim, independentemente da correção do plugin ou do uso do Wordfence ou outros plugins de segurança, estão protegidos da falha que ocorreu no File Manager.

No entanto, é importante destacar que apesar de contarem com essa importante barreira de segurança oferecida aos sites hospedados conosco, ainda é fundamental que clientes que tenham a versão 6.4 do plugin, procedam com a atualização e de acordo com nossas orientações.

Quaisquer dúvidas nesse sentido, nossos canais de atendimento estão aptos a lhe oferecer o suporte técnico necessário.

Conclusão

Uma falha ou vulnerabilidade de segurança como a identificada no plugin File Manager do WordPress, é algo a que todo site baseado em um CMS está sujeito. Por essa razão, desenvolvedores e administradores de sites devem manter-se permanentemente informados sobre tudo o que envolve a aplicação usada, bem como procederem com atualizações regulares do conteúdo e ainda manter backups frequentes.

Artigos relacionados

segurança cibernética
O que é spear phishing e como evitar essa ameaça digital?
MFA
O que é MFA? Como funciona e por que é importante?
WordPress
Os 5 melhores plugins de segurança para WordPress

Comentários ({{totalComentarios}})